win的redis服務挖礦病毒查殺
1. 鏀誇紒鏈烘瀯鐢ㄦ埛娉ㄦ剰錛佽爼鉶鐥呮瘨Prometei姝e湪閽堝瑰矓鍩熺綉妯鍚戞笚閫忎紶鎾
璀︽儠錛佹斂浼佺綉緇滄柊濞佽儊錛歅rometei錩曡櫕鐥呮瘨妯琛
榪戞湡錛屼竴縐嶅悕涓篜rometei鐨勮爼鉶鐥呮瘨鍦ㄥ叏鐞冭寖鍥村唴寮曡搗浜嗗箍娉涘叧娉ㄣ傚畠閫氳繃鎮舵剰鐨勬í鍚戞笚閫忔敾鍑繪墜孌碉紝瀵瑰矓鍩熺綉鍐呯殑緇堢璁懼囧彂璧峰叆渚碉紝璺ㄥ鉤鍙拌倖鉶愶紝瀵圭粍緇囨満鏋勭殑緗戠粶瀹夊叏鏋勬垚浜嗕弗閲嶅▉鑳併傜伀緇掑畨鍏ㄥ洟闃熷規よ〃紺轟簡楂樺害鍏蟲敞錛屽苟寮虹儓寤鴻鏀誇紒鏈烘瀯鍔犲己瀹夊叏闃叉姢鍜屾帓鏌ヨ屽姩銆
Prometei鐥呮瘨鍏峰囨帴鏀舵寚浠ゆ墽琛屾伓鎰忚屼負鐨勮兘鍔涳紝濡傛寲鐭垮拰鏇存柊鐥呮瘨妯″潡錛岃繖涓嶄粎浼氭樉钁楀墛寮辯郴緇熺殑瀹夊叏鎬э紝榪樺彲鑳藉紩鍙戝栭儴鏀誨嚮銆傚畠鐨勪紶鎾絳栫暐鏋佸叾鐙$尵錛屽杽浜庡埄鐢ㄥ急鍙d護鍜岀郴緇熸紡媧烇紝渚嬪傝嚟鍚嶆槶钁楃殑姘告亽涔嬭摑婕忔礊錛屽瑰悓涓緗戞靛唴鐨勭粓絝榪涜屾倓鏃犲0鎮鐨勬笚閫忋
鐏緇掑畨鍏ㄥ洟闃熷凡緇忓崌綰т簡鏌ユ潃鍜岄槻鎶ゆ妧鏈錛屽寘鎷瀵硅繙紼嬬櫥褰曘佹í鍚戞笚閫忓拰Web鏈嶅姟鐨勪繚鎶わ紝浠ユ嫤鎴鐥呮瘨鐨勬墿鏁h礬寰勩傜棶姣掕繕閲囧彇浜嗗姞瀵嗗拰鍖垮悕閫氳鎵嬫碉紝浠ユ彁鍗囪嚜韜鐨勯殣钄芥э紝鏀鎸佸氱嶅悗闂ㄦ寚浠ゅ拰鍔熻兘錛屽炲姞浜嗛槻鑼冪殑澶嶆潅鎬с
娣卞害鍓栨瀽錛Prometei鍒╃敤浜嗚稿侻IWalk絳夊伐鍏鳳紝閫氳繃鑾峰彇鐧誨綍鍑璇佽繘琛屾敾鍑匯傚畠鍒╃敤SMB銆乄MI銆丼QLServer銆丳ostgreSQL絳夋湇鍔¤繘琛屾毚鍔涚牬瑙o紝鍊熷姪棰勮懼拰鍔ㄦ佺敓鎴愮殑瀛楀吀錛屾彁楂樹簡鏀誨嚮鐨勬垚鍔熺巼銆傜棶姣掗氳繃PowerShell涓嬭澆涓繪ā鍧楋紝鍚屾椂鍒╃敤WMI鍜孲SH榪涜屾毚鐮翠紶鎾錛學indows緋葷粺鍒╃敤windrlver鍜宯ethelper妯″潡錛岀被Unix緋葷粺鍒欓氳繃curl絳夋墜孌靛圭洰鏍囪繘琛屾敾鍑匯
SQLServer鍜孭ostgreSQL鍚屾牱鎴愪負鐥呮瘨鐨勭洰鏍囷紝Windows緋葷粺浣跨敤PowerShell錛岃岀被Unix緋葷粺鍒欎緷璧栦簬curl銆傚煎緱娉ㄦ剰鐨勬槸錛孲MB鏆寸牬鍙鑳戒細鍒╃敤"姘告亽涔嬭摑"婕忔礊錛岃岀棶姣掑瑰悇縐嶆紡媧炵殑鍒╃敤鏄劇ず浜嗗叾鏀誨嚮鐨勫箍娉涙у拰鐏墊椿鎬с
鐥呮瘨涓鏃﹂氳繃Redis鏈鎺堟潈璁塊棶婕忔礊鎴愬姛榪炴帴錛屽氨浼氫嬌鐢╳get涓嬭澆鎮舵剰妯″潡騫舵墽琛屻傝孯edis鍜孉pache Log4j婕忔礊鐨勪紶鎾娑夊強RDP鍗忚銆佷富鏈哄悕鍔犲瘑浠ュ強bklocal妯″潡錛孡og4j婕忔礊鍒欓氳繃鏋勯犵壒瀹歎ser-Agent鍙戦乬et璇鋒眰錛岃Е鍙戞紡媧炲埄鐢ㄣ
瀵逛簬綾籙nix緋葷粺錛岀棶姣掓牱鏈涓昏侀氳繃SMB銆丼SH鍜孯edis榪涜屾敾鍑伙紝涓嶹indows緋葷粺鐨勬敾鍑婚昏緫鐩鎬豢銆傛牱鏈鏀鎸佺殑鍚庨棬鎸囦護涓板瘜澶氭牱錛屽叿浣撹︽儏璇峰弬闃呴檮褰曘傛牱鏈鐨勫搱甯屽煎皢鍦ㄥ悗緇鍐呭逛腑鎻愪緵錛屼互渚誇簬榪涗竴姝ヨ瘑鍒鍜岄槻鎶ゃ
闈㈠筆rometei錩曡櫕鐥呮瘨鐨勬寫鎴橈紝鏀誇紒鏈烘瀯鍔″繀鎻愰珮璀︽儠錛屽強鏃舵洿鏂板畨鍏ㄩ槻鎶ゆ帾鏂斤紝紜淇濈綉緇滅幆澧冪殑瀹夊叏紼沖畾銆傚悓鏃訛紝鎸佺畫鍏蟲敞鐏緇掑畨鍏ㄧ殑鏈鏂板姩鎬侊紝鑾峰彇鏈鏈夋晥鐨勫簲瀵圭瓥鐣ワ紝鍏卞悓鎶靛盡榪欏満緗戠粶瀹夊叏鐨勫▉鑳併
2. 鎸栫熆鐥呮瘨鎬庝箞澶勭悊
鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅錛
1銆佹煡鐪嬫湇鍔″櫒榪涚▼榪愯岀姸鎬佹煡鐪嬫湇鍔″櫒緋葷粺鏁翠綋榪愯屾儏鍐碉紝鍙戠幇鍚嶄負kdevtmpfsi鐨勬寲鐭胯繘紼嬪ぇ閲忓崰鐢ㄧ郴緇烠PU浣跨敤鐜囥
2銆佹煡鐪嬬鍙e強澶栬仈鎯呭喌鏌ョ湅絝鍙e紑鏀劇姸鎬佸強澶栬仈鎯呭喌錛屽彂鐜頒富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼負銆傚硅ュ栭儴鍦板潃榪涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧錛岃繘涓姝ョ『瀹氳ヨ繘紼嬩負鎮舵剰鎸栫熆榪涚▼錛氬畾浣嶆寲鐭胯繘紼嬪強鍏跺畧鎶よ繘紼婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃紼嬩腑涓嶄粎浼氫駭鐢熻繘紼媖devtmpfsi銆
6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦歡/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆
7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦歡銆
8銆佹煡鐪媠sh鏃ュ織鏂囦歡鏌ョ湅ssh鏃ュ織鏂囦歡錛屽彂鐜板ぇ閲忕櫥闄嗙棔榪逛互鍙婂叕閽ヤ笂浼犵棔榪廣
3. 中挖礦病毒的表現
故障現象:使用過程中,發現經常有服務無故關閉,登錄伺服器經檢查,發現CPU使用率達到100%。在檢測異常進程中,未發現CPU使用率異常的進程(使用 top、htop 以及 ps -aux 進行檢查),於是報障。
檢測過程:
1.找到他shell腳本對應目錄把目錄或者文件刪除。
2.檢查定時任務是否存在挖礦木馬文件在定時任務中,避免定時運行挖礦木馬文件。
3.添加hosts挖礦病毒訪問對應網站,避免二次訪問並下載。
4.排查liunx命令是否損壞,如損壞下載"procps-3.2.8"並編譯,恢復top等系列命令。
5.檢測進程是否異常。
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的網站程序是否存在漏洞,並排查下nginx或者apache日誌審查漏洞所在處。
7.排查ssh登錄日誌。
8.把ssh登錄切換成秘鑰登錄。
9.重啟伺服器,檢查是否進程是否正常。
4. 阿里雲yum工具和出站80埠不可用的問題排查一例
收到阿里雲簡訊/站內信提醒,線上某資源被病毒入侵。查看告警詳情及登錄伺服器後確認是感染了DDG挖礦病毒,入侵點是redis。由於病毒行為復雜,難以徹底清除對系統的修改,決定重置該實例然後重新部署服務。
實例重置後,發現yum無法使用。提示yum連接超時,連接的目標主機是阿里雲的yum源(233.*的IP地址,為外網地址),協議為HTTP。
進一步測試發現DNS解析正常,curl訪問內網的80埠正常,訪問外網所有80埠均超時,訪問外網的8080/443等部分非80埠正常。
經檢查機器的iptables沒有啟用,阿里雲安全組出站方向無限制。隨後提交工單聯系阿里雲。
售後客服在工單中答復,之前機器被檢測到有大量web攻擊行為,阿里雲已對該實例進行了出站特定埠封禁處理。在工單內表示問題已經排除後,客服提前人工解除封禁。
這類封禁處理不會體現在安全組,可以在 雲盾安全管控管理控制台 來查看封禁記錄。這個控制台也可以在阿里雲控制台右上角賬戶圖標--安全管控--處罰列表處進入。另外,處罰通知也會以站內信的方式發送(是否有簡訊暫不明確),所以及時查收站內信非常必要。
作為RAM用戶身份登錄難以保持登錄狀態,同時主賬號對通知方式的設置不合理,加上對阿里雲檢測和通知機制不夠熟悉,導致這次問題排查持續時間較久。
阿里雲 yum 出站 埠 封禁 入侵
5. 挖礦病毒怎麼處理
挖礦病毒處理步驟如下:
1、查看伺服器進程運行狀態查看伺服器系統整體運行情況,發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。
2、查看埠及外聯情況查看埠開放狀態及外聯情況,發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址,進一步確定該進程為惡意挖礦進程:定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。
6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。
7、查找敏感文件發現authorized_keys文件。
8、查看ssh日誌文件查看ssh日誌文件,發現大量登陸痕跡以及公鑰上傳痕跡。
6. 僵屍病毒和挖礦病毒的區別
僵屍病毒,BlueHero是一種會自動傳染的蠕蟲病毒,它像WannaCry一樣從一台機器自動傳染到另一台機器,從一個內網感染到另一個內網。基於傳播方法的特點,遭受感染的大多是網站伺服器以及其所在內網。
挖礦病毒由騰訊御見威脅情報最早報告。近一年來病毒頻繁升級,不斷增加攻擊手法和躲避安全查殺
DDG挖礦病毒(國外稱其為Linux.Lady)是一款在Linux系統下運行的惡意挖礦病毒,前期其主要通過ssh爆破,redis未授權訪問漏洞等方式進行傳播,近年來其更新非常頻繁,已經出現多個版本,本次捕獲到的是4004版本